Configuraciones de negociación SSL para el equilibrador de carga clásico

Elastic Load Balancing utiliza una configuración de negociación de capa de conexión segura (SSL), conocida como política de seguridad, para negociar las conexiones SSL entre un cliente y el equilibrador de carga. Una política de seguridad es una combinación de protocolos SSL, cifrados SSL y la opción de preferencia del orden del servidor. Para obtener más información acerca de cómo configurar una conexión SSL para el equilibrador de carga, consulte Oyentes para el equilibrador de carga clásico.

Políticas de seguridad

Una política de seguridad determina qué cifrados y protocolos se admiten durante las negociaciones SSL entre un cliente y un equilibrador de carga. Puede configurar los equilibradores de carga clásicos para que utilicen políticas de seguridad predefinidas o personalizadas.

Tenga en cuenta que un certificado proporcionado por AWS Certificate Manager (ACM) contiene una clave pública RSA. Por lo tanto, si utiliza un certificado proporcionado por ACM, debe incluir en la política de seguridad un cifrado que utilice RSA; de lo contrario, la conexión TLS fallará.

Políticas de seguridad predefinidas

Los nombres de la versión más reciente de las políticas de seguridad predefinidas contienen información sobre el año y el mes de lanzamiento. Por ejemplo, la política de seguridad predefinida que se utiliza de forma predeterminada es ELBSecurityPolicy-2016-08. Siempre que se publica una nueva política de seguridad predefinida, se puede actualizar la configuración para utilizarla.

Para obtener información sobre los protocolos y cifrados habilitados para las políticas de seguridad predefinidas, consulte Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos.

Políticas de seguridad personalizadas

Puede crear una configuración de negociación personalizada con los cifrados y protocolos que necesite. Por ejemplo, es posible que algunos estándares de conformidad y seguridad (como PCI y SOC) necesiten un conjunto específico de protocolos y cifrados que garanticen que se cumplen los estándares de seguridad. En estos casos, puede crear una política de seguridad personalizada que se ajuste a estos estándares.

Para obtener información sobre la creación de una política de seguridad personalizada, consulte Actualización de la configuración de la negociación SSL del equilibrador de carga clásico.

Protocolos SSL

El protocolo SSL establece una conexión segura entre un cliente y un servidor, y garantiza que todos los datos transferidos entre el cliente y el equilibrador de carga son privados.

Capa de conexión segura (SSL) y Transport Layer Security (TLS) son protocolos criptográficos que se usan para cifrar los datos confidenciales a través de redes que no son seguras, como Internet. El protocolo TLS es una versión más reciente del protocolo SSL. En la documentación de Elastic Load Balancing, cuando hablamos de "protocolo SSL", nos referimos tanto a SSL como TLS.

Protocolo recomendado

Recomendamos TLS 1.2, que se usa en la política de seguridad predefinida ELBSecurityPolicy-TLS-1-2-2017-01. También puede usar TLS 1.2 en sus políticas de seguridad personalizadas. La política de seguridad predeterminada es compatible con TLS 1.2 y versiones anteriores de TLS, por lo que es menos segura que ELBSecurityPolicy-TLS-1-2-2017-01.

Protocolo obsoleto

Si anteriormente habilitó el protocolo SSL 2.0 en una política personalizada, le recomendamos que actualice la política de seguridad a una de las políticas de seguridad predefinidas que se usan de forma predeterminada.

Preferencia del orden del servidor

Elastic Load Balancing admite la opción de preferencia del orden del servidor para negociar conexiones entre un cliente y un equilibrador de carga. Durante el proceso de negociación de conexiones SSL, el cliente y el equilibrador de carga presentan una lista con los cifrados y protocolos que admite cada uno por orden de preferencia. De forma predeterminada, el cifrado que se va a seleccionar para la conexión SSL será el primero de la lista del cliente que coincida con uno de los cifrados del equilibrador de carga. Si el equilibrador de carga está configurado para admitir la preferencia del orden del servidor, seleccionará el primer cifrado de su lista que se encuentre también en la lista del cliente. De este modo, el equilibrador de carga determina el cifrado que se utiliza con la conexión SSL. Si no se admite la preferencia del orden del servidor, el orden de cifrados presentado por el cliente se utiliza para negociar las conexiones entre el cliente y el equilibrador de carga.

Cifrados SSL

Un cifrado SSL es un algoritmo de cifrado que usa claves de cifrado para crear un mensaje codificado. Los protocolos SSL usan diversos cifrados SSL para cifrar los datos a través de Internet.

Tenga en cuenta que un certificado proporcionado por AWS Certificate Manager (ACM) contiene una clave pública RSA. Por lo tanto, si utiliza un certificado proporcionado por ACM, debe incluir en la política de seguridad un cifrado que utilice RSA; de lo contrario, la conexión TLS fallará.

Elastic Load Balancing admite los siguientes cifrados para utilizar con equilibradores de carga clásicos. Las políticas SSL predefinidas utilizan un subconjunto de estos cifrados. Todos estos cifrados están disponibles para utilizarse en las políticas personalizadas. Le recomendamos que utilice solo los cifrados incluidos en la política de seguridad predeterminada (están marcados con un asterisco). Muchos de los demás cifrados no son seguros y, si los utiliza, deberá hacerlo bajo su propia responsabilidad.

* Estos son lo cifrados incluidos en la política de seguridad predeterminada, ELBSecurityPolicy-2016-08.

Conjunto de cifrado para conexiones backend

Los equilibradores de carga utilizan un conjunto de cifrado estático con las conexiones backend. Si su Equilibrador de carga clásico y las instancias registradas no pueden negociar una conexión, incluya uno de los siguientes cifrados.